Forse non sono stato chiaro. La base è che quel file è nello stesso contesto delle pagine che potrebbero essere oggetto di attacco, quindi in caso di manipolazione delle pagine sarebbe manipolato anche il file. Se si crea l'abitudine a cercare informazioni in quel file, allora in caso di attacco si recupererebbero informazioni sbagliate. Se invece (com'è adesso) nessuno sa neanche che quel file può esistere, allora il fatto che un attaccante ci metta informazioni sbagliate è irrilevante. Soprattutto, a fronte di un canale così debole per comunicare informazioni, che ne sono tanti di migliori, come i campi txt del dns, che: - in caso di compromissione del server web non sono influenzati - sono gestiti molto più direttamente da chi si occupa dell'IT dell'organizzazione, mentre un file sul server web sarà modificabile da chi sviluppa le pagine, cosa che oltre ad essere un maggior problema in termini organizzativi, è anche un ulteriore canale di attacco.
Se tu in tutto questo ci vedi una teoria complottista o qualche principio di sicurezza che non ti quadra, magari dimmi dove. Per favore però, non "tutto fa, quindi mettiamo anche quel file". ciao - Claudio On 3/21/19 12:06 AM, Gerardo Di Giacomo wrote: > Qualche sostenitore del "contro" farebbe la cortesia alla lista di > fornire motivazioni valide e giustificate? D'altronde siamo tutti (?) > professionisti del settore, dovremmo comunicare in modo appropriato e > con un minimo di analisi critica. > > Finora ho solo letto teorie complottiste e nessun threat reale che > giustificherebbe il non usare quello standard. > > Ringrazio in anticipo in nome di quelli a favore. > > Gerardo > ------------------------------------------------------------------------ > *From:* Claudio Telmon <clau...@telmon.org> > *Sent:* Wednesday, March 20, 2019 5:32 AM > *To:* ml@sikurezza.org; Gabriele Carelli > *Subject:* Re: [ml] Pareri su secuirty.txt > > > > On 3/19/19 10:12 AM, Gabriele Carelli wrote: >> * il fatto che tale pagina possa essere "artefatta" con falsi contatti >> in caso di attacco, come detto da qualcuno all'inizio della >> discussione, è un non problema: in caso di attacco può essere >> artefatta anche se prima non esisteva :-) > > Questo potrebbe succedere se fosse abituale cercare informazioni in quel > file. Finché non lo è, le informazioni dovrebbero essere cercate in > posti più affidabili. Quindi è proprio meglio che l'abitudine di crearlo > e usarlo non ci sia. > ________________________________________________________ > https://nam04.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.sikurezza.org&data=02%7C01%7C%7C9fd7b56b408c4674808108d6ad3ba176%7C84df9e7fe9f640afb435aaaaaaaaaaaa%7C1%7C0%7C636886868951014792&sdata=pHDgkNPPUjJYRi%2FXy%2FR8iXID0t6cAIdodD9Bk%2FiTBwU%3D&reserved=0 > - Italian Security Mailing List > ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
